AWS Artifact: および AWS Organizations - AWS Organizations

AWS Artifact: および AWS Organizations

AWS Artifact は、ISO レポートや PCI レポートなど、AWS セキュリティコンプライアンスレポートをダウンロードできるサービスです。AWS Artifact を使用することで、管理アカウントのユーザーは、新しいレポートやアカウントが追加されたときでも、組織のすべてのメンバーアカウントに代わって契約を自動的に受諾できます。メンバーアカウントのユーザーは、契約を表示およびダウンロードできます。詳細については、AWS Artifact ユーザーガイドManaging an agreement for multiple accounts in AWS Artifact を参照してください。

AWS Artifact と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、AWS Artifact はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、AWS Artifact と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

組織からメンバーアカウントを削除すると、このロールを削除または変更できますが、お勧めしません。

サービス間での混乱した代理などのセキュリティ上の問題を引き起こす可能性があるため、ロールの変更は推奨されません。混乱した代理に対する保護の詳細については、「AWS Artifact ユーザーガイド」の「Cross-service deputy prevention」(サービス間での代理処理の防止) を参照してください。

  • AWSArtifactAccountSync

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。AWS Artifact によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • aws-artifact-account-sync.amazonaws.com

AWS Artifact との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Organizations ツールだけで、信頼されたアクセスを有効にできます。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. サービスページで、AWS Artifact の行を探し、サービスの名前を選択してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  4. AWS Organizations だけの管理者である場合は、AWS Artifact の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、AWS Artifact を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ --service-principal aws-artifact-account-sync.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

AWS Artifact との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS Organizations 管理アカウントの管理者だけが AWS Artifact との信頼されたアクセスを無効にできます。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

AWS Artifact には、組織契約に関する処理を行うにあたり、AWS Organizations との信頼されたアクセスが必要です。組織契約のために AWS Organizations を使用中に、AWS Artifact を使用して信頼されたアクセスを無効にすると、組織にアクセスできず、動作は停止します。AWS Artifact で受諾する組織契約は残りますが、AWS Artifact でアクセスすることはできません。AWS Artifact で作成される AWS Artifact ロールは残ります。その後、信頼されたアクセスを再度有効にすると、AWS Artifact は以前のように動作し続けます。サービスを再設定する必要はありません。

スタンドアロンアカウントは組織から削除され、組織契約にアクセスできなくなります。

信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Services] (サービス) ページで AWS Artifact の行を探し、サービスの名前を選択します。

  3. [Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  5. AWS Organizations だけの管理者である場合は、AWS Artifact の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、AWS Artifact を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal aws-artifact-account-sync.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess